Webhosting verrät Absender IP

  • das ganze hätte aber auch einen gravierenden Side-Effekt; nimm nur an, es läuft bei einem Kunden etwas schief, und er verstreut durch Schadsoftware über die Mailinfrastruktur von netcup Mails in die weite Welt; dann hätte dies im worst case zur Folge, daß die Mailserver von netcup auf einer Blacklist landen, und das obwohl sie es nicht verursacht haben ...

    :rolleyes: Naja nicht wirklich, den ein richtig konfigurierter MailServer reagiert auf die Absenderadresse der E-Mail und die aufgelöste IP zur Domain und nicht auf received from. Den in aller Regel kann er schon zwischen dem Sender und dem eigentlichen MTA unterscheiden.

  • der_webcode das hängt von anderen Faktoren ab; ich kenne jetzt die Restriktionen der Mail-Infrastruktur von netcup nicht; aber wenn Du jeden beliebigen Absender einsetzen kannst - es gibt noch zu viele Domains die noch immer kein SPF definiert haben - nutzt Dir das mal gar nichts; und es ist ehrlich gesagt nicht Aufgabe des Hosters (z.B. netcup) sich um Probleme des Providers (z.B. Telekom) und dessen Kunden (der mit dem der Schadsoftware, welcher zufällig sowohl ein Kunde vom Hoster als auch vom Provider ist) zu kümmern;

    das schicken auf eine Blacklist macht nicht der empfangene Mailserver sondern evtl. derjenige der so eine Mail empfängt ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • der_webcode das ganze hätte aber auch einen gravierenden Side-Effekt; nimm nur an, es läuft bei einem Kunden etwas schief, und er verstreut durch Schadsoftware über die Mailinfrastruktur von netcup Mails in die weite Welt; dann hätte dies im worst case zur Folge, daß die Mailserver von netcup auf einer Blacklist landen, und das obwohl sie es nicht verursacht haben ...

    Wo ist der Unterschied? Der versendende Mailserver ist immer der "Schuldige", der auf einer BL landet. Ob da noch weitere Received-Header vorkommen, ist den Empfängern in der Regel wurscht.


    Die Erklärung von [netcup] Felix P. klingt natürlich sinnvoll. Afaik gibt es auch keine 100% perfekte Möglichkeit, um die Maillogs wirklich sauber nach Kunden aufzutrennen, ohne Gefahr, dass man Details von anderen Kunden sieht.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()

  • Wo ist der Unterschied? Der versendende Mailserver ist immer der "Schuldige", der auf einer BL landet.

    es ist eh schwierig das ganze:/


    aber wie erkennst Du, ob wie im geschilderten Szenario ein PC eines Kunden verrückt spielt, oder ob nur die Zugangsdaten eines Kunden ausgespäht wurden und sich damit ein ganzes Botnet bedient?

    im Fall, daß diese Received-Zeile nicht im Header ist, würde von Dritten weder dieses Botnet noch der verrückt spielende PC eines Kunden erkannt werdenund der Server von netcup wirklich als der Schuldige angeprangert werden ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • mainziman - Du hast eine sehr komische Vorstellung wie Email-Verkehr funktioniert.


    Es ist mir als Empfänger bzw. empfagender Mailserver total egal, wieso du spammy bist. Ich blocke dich entweder allein aufgrund deiner IP-Reputation (RBL) oder aufgrund des Inhaltes (Hash, Bayes, etc), welchen du mir übergibst. Dafür bist nur du verantwortlich. Niemand sonst den du im Header zitierst.


    Die Ursachenforschung für die eigentliche Spamquelle obliegt dann dem Admin-C für das IP-Netz. Und dieser hat dann die kompletten Logfiles vom Mailserver zur Hand bzw. weiß wem die IP gehört.


    Du bist vollkommen korrekt unterwegs,wenn dein Header aus nur From, Return-To und und Subject besteht. Alles andere ist Bonus ;)

    "Security is like an onion - the more you dig in the more you want to cry"

  • […] und der Server von netcup wirklich als der Schuldige angeprangert werden ...

    Das wird er so oder so. Denn für Außenstehende, die netcup nicht kennen, gilt in diesem Fall immer noch der Grundsatz: Traue keiner Received-Zeile, die nicht von den eigenen Systemen eingefügt wurde.


    Aber wie geschrieben, ich sehe nach der Erklärung von Felix durchaus einen Sinn darin beim Webhosting. Bei eigenen Servern anonymisiere ich die Received-Zeile weiterhin, da ich dort jedem User die Logs durchforsten kann. Ich habe aber auch nicht 5-6 stellige Mailaccounts zu betreuen... :D

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Selbstverständlich geht das auch über die Maillogs. Es ist am Ende eine Kostenfrage. Individuelle Arbeitszeit eines netcup-Systemadministrators müssen wir mittlerweile mit 90 Euro / Stunde in Rechnung stellen. Wir denken es ist durchaus einfacher wenn unsere Kundinnen und Kunden selbst nachvollziehen können woher E-Mails verschickt wurden.


    Mit freundlichen Grüßen


    Felix Preuß

    Das sehe ich etwas anders. Wenn über ein Postfach auf meinem Webhostingzugang Spam versendet wird, ist es erst mal unerheblich von welcher IP der versendet wird. Der Zugang ist kompromittiert und muss abgestellt werden (in welcher Form auch immer).
    Wenn mein Client kompromittiert wurde und darüber Spam versendet wird (was mMn in eher weniger Fällen geschieht), sollte ich das mindestens im entsprechenden IMAP-Verzeichnis sehen.

    In beiden Fällen bringt mir der Mailheader aber überhaupt nichts, da ich vermutlich weniger selbst Adressat des Spamversandes bin, oder? Selbst wenn doch, treffen mMn immer noch die oberen beiden Punkte zu.

    In keinem Fall finde ich es jedoch sinnvoll, dass jeder Empfänger meiner Mails, meine IP-Adresse im Klartext nachlesen kann - erst recht nicht, wenn die max. alle 3 Monate nur wechselt!


    Ich verstehe den Ansatz, den eigenen Kunden Informationen zur Verfügung stellen zu wollen (auch wenn ich gerade den Anwendungsfall nicht sehe), aber dann doch bitte gesichert hinter einer entsprechenden Authentifizierung.


    Bspw. könnte man doch im Webhostingportal entsprechend ge-grep-te Logs bereitstellen.

    (mangels Kenntnis über die interne Hosting-Infrastruktur von NetCup, kann ich leider keine besseren Vorschläge bringen)


    Wenn ich was übersehen habe, lasse ich mich gerne darauf hinweisen :)

  • Wenn mein Client kompromittiert wurde und darüber Spam versendet wird […], sollte ich das mindestens im entsprechenden IMAP-Verzeichnis sehen.

    Leider nicht. Der Versand erfolgt über SMTP, die Ablage in einem IMAP-Ordner erfolgt erst nach dem Versand und ist optional. Bei POP3 sieht es der Client nie vor. Außerdem werden bei kompromittierten Clients meistens die Zugangsdaten entwendet und von extern genutzt. Das nur als Hinweis am Rande.


    (Die Möglichkeit von "BURL" ist wieder ein anderes Thema, da es noch kaum ein Server oder Client unterstützt.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)